Turla Backdoor
Turla APT (Advanced Persistent Threat) to niesławna rosyjska grupa hakerska, która działa od ponad dekady. Nazywane są również Uroburos APT lub Snake APT. Są znani z tego, że lubią wysokiej klasy ofiary. Poinformowano, że APT Turla zinfiltrował niemieckie Federalne Kolegium Administracji Publicznej, a następnie, za jego pośrednictwem, zdołał skompromitować Federalne Ministerstwo Spraw Zagranicznych tego kraju. Co więcej, nie była to penetracja jednorazowa; ujawniono, że APT Turla znajdował się pod radarem niemieckich władz przez prawie cały 2017 rok. W tym czasie grupa hakerska przechwytywała i zbierała dane rządowe. Ta imponująca operacja została przeprowadzona za pomocą narzędzia APT o nazwie Backdoor Turla.
Trzy kraje europejskie zgłosiły ataki ze strony tej rosyjskiej grupy hakerskiej. Celem po raz kolejny były ich zagraniczne biura. Można bezpiecznie założyć, że APT Turla jest mocno zaangażowany w szpiegostwo, ponieważ ich głównymi celami zawsze byli dyplomaci, władze wojskowe i państwowe oraz politycy. Podejrzewa się, że APT Turla może być powiązany z rosyjskim rządem, ale ta informacja nie została jeszcze potwierdzona.
Uważa się, że backdoor Turla APT powstał w 2009 roku. Jednak grupa hakerska nie była bezczynna przez lata i wprowadziła wiele ulepszeń do swojego backdoora, takich jak możliwość odbierania poleceń przez zagrożenie za pośrednictwem pliku PDF dołączonego do wiadomości e-mail , który został wprowadzony w 2016 r. W 2018 r. do backdoora Turla APT dodano nową funkcję – zaktualizowano ją o możliwość wykonywania poleceń PowerShell na zainfekowanym hoście.
Najnowsza wersja tego backdoora jest wyposażona w możliwość infiltracji programu Microsoft Outlook. Co ciekawe, Turla APT nie wykorzystuje luki w aplikacji, ale zamiast tego manipuluje legalnym interfejsem MAPI (Messaging Application Programming Interface) programu Microsoft Outlook i dzięki niemu uzyskuje dostęp do bezpośrednich wiadomości swoich zamierzonych celów. W przeciwieństwie do większości backdoorów, które zwykle otrzymują polecenia za pośrednictwem serwera dowodzenia i kontroli sprawców, Backdoor Turla jest kontrolowany za pomocą specjalnie spreparowanych wiadomości e-mail dzięki ulepszeniu wprowadzonemu przez APT Turla w 2016 roku. Backdoor Turla jest w stanie wykonywać wiele poleceń, m.in. które zbierają dane oraz pobierają i wykonują różne pliki. Ten backdoor nie jest zbyt wybredny, jeśli chodzi o to, gdzie zostanie umieszczony – Backdoor Turla ma postać modułu DLL (Dynamic Link Library) i może działać z dowolnego miejsca na dysku twardym. Ponadto Turla APT wykorzystuje narzędzie systemu Windows (RegSvr32.exe) do zainstalowania swojego backdoora w docelowym systemie.
Oczywiście, jak każde wysoce skuteczne zagrożenie tego kalibru, Backdoor Turla jest również wyposażony w wielką wytrwałość. Aby zminimalizować ryzyko wykrycia, Backdoor Turla nie będzie przez cały czas wykonywał swoich „obowiązków”. Zamiast tego wykorzystuje dobrze znaną lukę w zabezpieczeniach systemu Windows dotyczącą Component Object Model (COM). Wykorzystując tę lukę, backdoor może wstrzykiwać swoje instancje w prawidłowym procesie „outlook.exe”, eliminując w ten sposób potrzebę korzystania z biblioteki DLL injection – wektor ataku, który produkty antywirusowe z łatwością wykrywają.
Infiltrując Microsoft Outlook, Backdoor Turla jest w stanie zbierać metadane dotyczące aktywności komunikacyjnej ofiary – temat wiadomości e-mail, nazwa załącznika, nadawcy i odbiorcy. Dane te są gromadzone i przechowywane przez Backdoor Turla i są okresowo przesyłane na serwery atakującego. Zagrożenie takie jak Turla Backdoor może spowodować wiele szkód, zwłaszcza jeśli atakującym uda się zainfekować system używany do przechowywania poufnych danych lub komunikacji, a oczywiste jest, że Turla APT atakuje właśnie tych użytkowników.
Oprócz kradzieży danych, złośliwemu oprogramowaniu można nakazać pobranie dodatkowych plików lub wykonanie uszkodzonych skryptów PowerShell. Podsumowując, Backdoor Turla jest zagrożeniem, które pod względem funkcjonalności zbliża się do rootkita.
